16/11/2010
Исследователи безопасности из компании Trusteer заявляют, что хотя Microsoft и расширил свою MSRT (Malicious Software Removal Tool) новыми возможностями защиты, чтобы помочь организациям бороться с печально известным, ворующем информацию трояном под названием Zeus, утилита, однако, не смогла определить последнюю версию вируса.

Zeus ворует банковские данные за счет сканирования нажатия клавиш пользователем и распространяется в основном с помощью фишинговых атак и скрытых закачек. Будучи впервые обнаруженным в июле 2007 года, троян до сих пор заражает персональные компьютеры.

Главной задачей компании было понять, насколько эффективно утилита находит и уничтожает Zeus, для чего были проведены тесты MSRT на большом количестве зараженных файлов. В результате, выяснилось, что она находит Zeus 2.0 в 46% случаев; однако, не способна обнаружить последнюю версию трояна 2.1.

По словам Symantec, учитывая распространение вируса, у Zeus большое преимущество над MRST. MRST не работает в режиме реального времени и не выполняет фоновых проверок на вирусы, поэтому хакеры пользуются разницей во времени между заражением и очередной проверкой, чтобы снять деньги с банковского счета жертвы.

Отмечая эти особенности Zeus, генеральный директр Trusteer заявил, что в основном кража денег происходит в течении дней или даже часов после заражения компьютера вирусом, поскольку украденная информация сразу же отправляется кибер-преступникам.

Он так же добавил, что у преступников есть "удобный момент" в интервале между заражением ПК Zeusом и последующим сканированием MSRT для перекачки денег с банковского счета жертвы. Согласно генеральному директору, жулики действуют очень быстро: сразу после заражения они анализировали ПК пользователя, и к следующему посещению им банковского счета дело уже бывает сделано.

В конечном счете, согласно Trusteer, между скудными попытками индустрии защиты информации и активностью разработчиков Zeus целая пропасть. На взгляд компании, оружие Microsoft против Zeus выбрано неверно. Вместе с дальнейшим улучшением системы работы в целом, утилита должна поддерживать независимые от подписи решения в реальном времени.